Во вторник Ivanti выпустила исправления для устранения множества критических недостатков безопасности в Endpoint Manager (EPM), которые могут быть использованы для обеспечения удаленного выполнения кода при определенных обстоятельствах.
Шесть из 10 уязвимостей – от CVE-2024-29822 до CVE-2024-29827 (оценка CVSS: 9,6) – связаны с ошибками внедрения SQL, которые позволяют злоумышленнику, не прошедшему проверку подлинности, в той же сети выполнять произвольный код.
Остальные четыре ошибки - CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 и CVE-2024-29846 (оценки CVSS: 8.4) - также подпадают под ту же категорию, с единственным изменением, заключающимся в том, что они требуют аутентификации злоумышленника.
Недостатки влияют на основной сервер Ivanti EPM версий 2022 SU5 и более ранних.
Компания также устранила серьезную ошибку безопасности в Avalanche версии 6.4.3.602 (CVE-2024-29848, оценка CVSS: 7.2), которая могла позволить злоумышленнику добиться удаленного выполнения кода путем загрузки специально созданного файла.
Кроме того, были отправлены исправления для пяти других уязвимостей высокой степени серьезности: SQL-инъекции (CVE-2024-22059) и ошибки неограниченной загрузки файлов (CVE-2024-22060) в Neurons для ITSM, ошибки при внедрении CRLF в Connect Secure (CVE-2023-38551) и двух проблем с локальным повышением привилегий в клиенте безопасного доступа для Windows (CVE-2023-38042) и Linux (CVE-2023-46810).
Иванти подчеркнул, что нет никаких доказательств того, что недостатки использовались в естественных условиях или что они были "злонамеренно внедрены в наш процесс разработки кода" посредством атаки по цепочке поставок.
Разработка началась после того, как появились подробности о критическом недостатке в открытой версии механизма управления и выполнения больших данных Genie federated Big Data, разработанного Netflix (CVE-2024-4701, оценка CVSS: 9,9), который может привести к удаленному выполнению кода.
Описанный как уязвимость обхода пути, недостаток может быть использован для записи произвольного файла в файловую систему и выполнения произвольного кода. Это влияет на все версии программного обеспечения до версии 4.3.18.
Проблема связана с тем фактом, что REST API Genie разработан для приема имени файла, указанного пользователем, как части запроса, что позволяет злоумышленнику изменять имя файла таким образом, чтобы он мог выйти за пределы пути к хранилищу вложений по умолчанию и записать файл с любым именем, указанным пользователем, по пути, указанному злоумышленником.
"Это может повлиять на всех пользователей Genie OSS, которые запускают свой собственный экземпляр и полагаются на файловую систему для хранения вложений файлов, отправленных в приложение Genie", - сказали разработчики в рекомендации.
"Используя этот метод, можно записать файл с любым указанным пользователем именем файла и его содержимым в любое место в файловой системе, к которому процесс Java имеет доступ на запись, что потенциально приводит к удаленному выполнению кода (RCE)".
Тем не менее, пользователи, которые не хранят вложения локально в базовой файловой системе, не подвержены этой проблеме.
"В случае успеха такая атака может заставить веб-приложение прочитать и, следовательно, раскрыть содержимое файлов за пределами корневого каталога document приложения или веб-сервера, включая учетные данные для серверных систем, код и данные приложения, а также конфиденциальные файлы операционной системы", - сказал исследователь по безопасности Contrast Джозеф Битон.
Ранее в этом месяце правительство США предупредило о продолжающихся попытках субъектов угроз использовать дефекты обхода каталогов в программном обеспечении для взлома целевых объектов, призвав разработчиков принять безопасный по замыслу подход для устранения таких дыр в безопасности.
"Включение этого метода снижения рисков с самого начала – начиная с этапа проектирования и продолжая выпуском продукта и обновлений – снижает как бремя кибербезопасности для клиентов, так и риски для общества", - заявило правительство.
Раскрытие также связано с различными уязвимостями (CVE-2023-5389 и CVE-2023-5390) в контроллере операций пограничного блока управления (UOC) Honeywell, которые могут приводить к удаленному выполнению кода без проверки подлинности.
"Злоумышленник, уже находящийся в сети OT, может использовать вредоносный сетевой пакет, чтобы воспользоваться этой уязвимостью и скомпрометировать виртуальный контроллер", - сказал Клароти. "Эта атака могла быть проведена удаленно с целью изменения файлов, что привело к полному контролю контроллера и выполнению вредоносного кода".
Шесть из 10 уязвимостей – от CVE-2024-29822 до CVE-2024-29827 (оценка CVSS: 9,6) – связаны с ошибками внедрения SQL, которые позволяют злоумышленнику, не прошедшему проверку подлинности, в той же сети выполнять произвольный код.
Остальные четыре ошибки - CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 и CVE-2024-29846 (оценки CVSS: 8.4) - также подпадают под ту же категорию, с единственным изменением, заключающимся в том, что они требуют аутентификации злоумышленника.
Недостатки влияют на основной сервер Ivanti EPM версий 2022 SU5 и более ранних.
Компания также устранила серьезную ошибку безопасности в Avalanche версии 6.4.3.602 (CVE-2024-29848, оценка CVSS: 7.2), которая могла позволить злоумышленнику добиться удаленного выполнения кода путем загрузки специально созданного файла.
Кроме того, были отправлены исправления для пяти других уязвимостей высокой степени серьезности: SQL-инъекции (CVE-2024-22059) и ошибки неограниченной загрузки файлов (CVE-2024-22060) в Neurons для ITSM, ошибки при внедрении CRLF в Connect Secure (CVE-2023-38551) и двух проблем с локальным повышением привилегий в клиенте безопасного доступа для Windows (CVE-2023-38042) и Linux (CVE-2023-46810).
Иванти подчеркнул, что нет никаких доказательств того, что недостатки использовались в естественных условиях или что они были "злонамеренно внедрены в наш процесс разработки кода" посредством атаки по цепочке поставок.
Разработка началась после того, как появились подробности о критическом недостатке в открытой версии механизма управления и выполнения больших данных Genie federated Big Data, разработанного Netflix (CVE-2024-4701, оценка CVSS: 9,9), который может привести к удаленному выполнению кода.
Описанный как уязвимость обхода пути, недостаток может быть использован для записи произвольного файла в файловую систему и выполнения произвольного кода. Это влияет на все версии программного обеспечения до версии 4.3.18.
Проблема связана с тем фактом, что REST API Genie разработан для приема имени файла, указанного пользователем, как части запроса, что позволяет злоумышленнику изменять имя файла таким образом, чтобы он мог выйти за пределы пути к хранилищу вложений по умолчанию и записать файл с любым именем, указанным пользователем, по пути, указанному злоумышленником.
"Это может повлиять на всех пользователей Genie OSS, которые запускают свой собственный экземпляр и полагаются на файловую систему для хранения вложений файлов, отправленных в приложение Genie", - сказали разработчики в рекомендации.
"Используя этот метод, можно записать файл с любым указанным пользователем именем файла и его содержимым в любое место в файловой системе, к которому процесс Java имеет доступ на запись, что потенциально приводит к удаленному выполнению кода (RCE)".
Тем не менее, пользователи, которые не хранят вложения локально в базовой файловой системе, не подвержены этой проблеме.
"В случае успеха такая атака может заставить веб-приложение прочитать и, следовательно, раскрыть содержимое файлов за пределами корневого каталога document приложения или веб-сервера, включая учетные данные для серверных систем, код и данные приложения, а также конфиденциальные файлы операционной системы", - сказал исследователь по безопасности Contrast Джозеф Битон.
Ранее в этом месяце правительство США предупредило о продолжающихся попытках субъектов угроз использовать дефекты обхода каталогов в программном обеспечении для взлома целевых объектов, призвав разработчиков принять безопасный по замыслу подход для устранения таких дыр в безопасности.
"Включение этого метода снижения рисков с самого начала – начиная с этапа проектирования и продолжая выпуском продукта и обновлений – снижает как бремя кибербезопасности для клиентов, так и риски для общества", - заявило правительство.
Раскрытие также связано с различными уязвимостями (CVE-2023-5389 и CVE-2023-5390) в контроллере операций пограничного блока управления (UOC) Honeywell, которые могут приводить к удаленному выполнению кода без проверки подлинности.
"Злоумышленник, уже находящийся в сети OT, может использовать вредоносный сетевой пакет, чтобы воспользоваться этой уязвимостью и скомпрометировать виртуальный контроллер", - сказал Клароти. "Эта атака могла быть проведена удаленно с целью изменения файлов, что привело к полному контролю контроллера и выполнению вредоносного кода".
